INSIGHTS SOBRE O CSSLP

Transcrição

1 Assuma a liderança para garantir o SDLC A certificação Certified Secure Software Lifecycle Professional (CSSLP ) é a única no setor criada para garantir que a segurança seja levada em conta em todo o ciclo de vida de desenvolvimento do software. Do conceito e planejamento a operações e manutenção e, finalmente, à eliminação, ela estabelece padrões e práticas recomendadas do setor para a integração de segurança em cada fase. Sigilo, integridade, disponibilidade, autenticação, autorização e auditoria os princípios básicos da segurança devem se tornar requisitos no ciclo de vida do software. Sem este nível de compromisso, as informações estão em risco. Incorporar desde cedo a segurança e mantê-la durante todas as fases do ciclo de vida do software é, comprovadamente, 30 a 100 vezes mais barato e incalculavelmente mais eficiente do que a metodologia de lançar e corrigir, usada com frequência atualmente. POR QUE SE TORNAR UM CSSLP Benefícios do CSSLP para você Ser visto como líder em segurança de software Superar vulnerabilidades de aplicativos, oferecendo mais valor para o seu empregador Demonstrar um conhecimento funcional sobre segurança de aplicativos Oferecer um diferencial na carreira, com maior credibilidade e capacidade de negociação, em escala mundial Conceder-lhe benefícios exclusivos como membro do (ISC) 2, incluindo recursos muito úteis como rede de pares e troca de ideias Benefícios do CSSLP para o seu empregador Romper com a abordagem de teste de invadir e corrigir Reduzir o custo de produção, vulnerabilidades e atrasos nas entregas Melhorar a credibilidade da sua organização e sua equipe de desenvolvimento Reduzir perda de receita e reputação devido à violação resultante de software inseguro Garantir a conformidade com regulamentos do governo ou do setor INSIGHTS SOBRE O CSSLP Ter engenheiros e desenvolvedores com experiência prática com os domínios do CSSLP é fundamental para o sucesso da sua organização. Richard Tychansky, CSSLP Estados Unidos A necessidade de software seguro é crítica para a proteção de empresas e consumidores. Uma principal solução é garantir que os profissionais de desenvolvimento de software sejam plenamente versados em conceitos e práticas recomendadas para software seguro. Isto é o que torna o CSSLP tão valioso, e o credenciamento ANSI valida ainda mais seu valor para informações e organizações. Glenn Leifheit, CISSP, CSSLP Arquiteto-Chefe de Segurança Microsoft Estados Unidos Com a chegada de novos ataques cibernéticos de grande repercussão e furto de dados em grande escala por meio de aplicativos de software, que todos parecem incapazes de solucionar, a necessidade de garantir um elevado nível de qualidade baseada em segurança em nosso desenvolvimento de aplicativo de software é iminente. Hoje, os hackers sabem que temos firewalls, etc., de modo que o foco dos seus ataques voltou-se para o vulnerável HTML/HTTP, não para o IP de rede. [Precisamos urgentemente agilizar nossas equipes de segurança, e especialmente nossas equipes de desenvolvimento e qualidade de software, para que entendam e, assim, combatam esta nova e perigosa ameaça... O CSSLP do (ISC)2 é a melhor resposta, atualmente.] Anthony Lim, CSSLP Diretor de segurança da IBM para a Ásia-Pacífico - Cingapura 1

2 QUEM DEVE SE TORNAR UM CSSLP O CSSLP é para todas as partes interessadas no ciclo de vida do software com pelo menos quatro anos de experiência profissional. Os candidatos ao CSSLP devem possuir um mínimo de quatro anos de experiência profissional no ciclo de vida de desenvolvimento de software (SDLC) em um ou mais dos sete domínios do CBK de CSSLP da (ISC) 2 ou três anos de experiência profissional recente com um diploma universitário relevante em uma disciplina de TI. PARTICIPE PARA OBTER EXPERIÊNCIA Associado do (ISC) 2 para CSSLP Não é preciso passar anos na área para demonstrar sua competência em segurança da informação. Associe-se ao (ISC) 2 e você fará parte de uma organização de renome e credibilidade, conquistando reconhecimento de empregadores e colegas pelo conhecimento do setor que já adquiriu. Exigências para a participação O status de associado do (ISC) 2 está disponível para aqueles com conhecimento em áreas-chave de conceitos do setor, mas que não possuem experiência profissional. Como candidato, você pode prestar o exame para CSSLP e adotar o Código de Ética do (ISC) 2, mas para obter a credencial como CSSLP, terá de conquistar os anos necessários de experiência profissional exigidos, apresentar provas e ser endossado por um membro do (ISC) 2 com afiliação válida. Se estiver tentando obter esta credencial, você tem um máximo de cinco anos a partir da data de aprovação no exame para adquirir os cinco anos necessários de experiência profissional. A taxa de manutenção anual (AMF) de US$35 será cobrada, e 15 créditos de Educação Profissional Continuada (CPE) devem ser conquistados a cada ano, para manter o status de associado. Para mais informações para se tornar um associado do (ISC) 2, visite 2

3 O CBK DO CSSLP O CBK do CSSLP contém a maior e mais abrangente coleção de práticas recomendadas, políticas e procedimentos para garantir uma iniciativa de segurança em todas as fases do desenvolvimento do aplicativo, independentemente da metodologia. O Programa de Educação abrangente de CBK para CSSLP do (ISC) 2 cobre os seguintes domínios: Conceitos de software seguro implicações e metodologias de segurança em ambientes centralizados e descentralizados em todo o desenvolvimento de software nos sistemas de informática da empresa. Confidencialidade, integridade, disponibilidade Autenticação, autorização e auditoria Princípios do design de segurança Gerenciamento de riscos Regulamentos, privacidade, conformidade Arquitetura de software Padrões Modelos de segurança Computação confiável Aquisição Requisitos de software seguro captura de controles de segurança usados durante a fase de requisitos para integrar a segurança no processo, identificar objetivos-chave de segurança e maximizar a segurança do software, minimizando ao mesmo tempo a interrupção de planos e cronogramas. Decomposição da política Identificação e coleta Design de software seguro traduzir requisitos de segurança em elementos de design do aplicativo, incluindo documentação dos elementos das superfícies de ataque ao software, condução de modelagem de ameaças e definição de todos os critérios específicos de segurança. Processos de design Considerações de design Arquitetura Tecnologias Revisão técnica de design e arquitetura Implementação/codificação de software seguro envolve a aplicação de codificação e padrões de teste, aplicação de ferramentas de teste seguras, incluindo fuzzing, ferramentas de varredura de código de análise estática e condução de revisões do código. Vulnerabilidades e precauções comuns de software Práticas de codificação defensiva Gerenciamento de exceções Gerenciamento de configurações Análise de código Codificação de interface Testes de software seguro teste integrado de controle de qualidade para funcionalidade da segurança e resiliência a ataques. Teste para garantia de qualidade da segurança Tipos de teste Avaliação do impacto e ação corretiva Padrões para garantia de qualidade de software Teste de regressão Aceitação do software implicações para a segurança na fase de aceitação do software, incluindo critérios de conclusão, aceitação e documentação de riscos, critérios comuns e métodos de testes independentes. Pré-lançamento ou pré-implantação Pós-lançamento Implantação do software, manutenção de operações e descarte problemas de segurança envolvendo operações de estado estacionário e gerenciamento de software. Medidas de segurança que devem ser adotadas quando um produto chega ao fim de sua vida. Instalação e implantação Políticas de fim de vida Operações e manutenção Baixe uma cópia do Boletim de Informações para o Candidato a CSSLP em 3

4 EDUCAÇÃO À SUA MANEIRA O Programa oficial de Instrução de CBK para CSSLP do (ISC) 2 O Programa oficial de instrução é seu modo exclusivo de aprender sobre práticas recomendadas e padrões no setor para segurança durante o ciclo de vida do software informações críticas para o CSSLP. Com este programa, você ganhará conhecimentos e aprenderá como a segurança deve ser integrada em cada fase do ciclo de vida do software. Ele também detalha medidas de segurança essenciais que devem ocorrer, começando com a fase de requisitos, passando pela especificação e design do software, teste do software e, finalmente, seu descarte. Este programa intensivo fornece uma divisão detalhada dos domínios do CSSLP, enquanto identifica áreas-chave para estudo, incluindo: Material 100% atualizado Contribuições de CSSLPs, instrutores autorizados do (ISC) 2 e especialistas no assunto Uma visão geral do escopo de segurança O Programa oficial de Instrução para CBK do CSSLP é oferecido nos seguintes formatos: Realizado em sala de aula, com duração de vários dias. O material do curso concentra-se em cobrir os sete domínios do CSSLP. Disponível em todo o mundo, em instalações do (ISC) 2 e em parceiros de educação autorizados do (ISC) 2. Privado, no local - realize seu próprio seminário de CBK para CSSLP dentro ou fora da sua empresa. Disponível para grupos maiores, esta opção geralmente poupa tempo e despesas de viagem para funcionários. Preços para grupos também estão disponíveis para organizações com 15 ou mais funcionários que planejam prestar o exame. Live Online - Obtenha sua instrução recorrendo à conveniência do seu computador. O Live OnLine lhe traz o mesmo conteúdo do premiado curso oferecido em sala de aula ou em seminários privados no local de trabalho e o benefício de um instrutor autorizado do (ISC) 2. Visite para mais informações ou para se inscrever. Por muitos anos, a segurança foi considerada um aspecto secundário. É difícil mudar velhos hábitos. Este curso foi muito útil para tentar mudar velhos hábitos, ao revisar o SDLC para que entendêssemos onde e como é possível oferecer segurança. David Lindberg, CISSP Blue Cross Blue Shield de Minnesota O curso para o CSSLP foi muito abrangente. Mesmo depois de mais de 20 anos no desenvolvimento de aplicativos e gerenciamento de projetos, o material cobriu muitos tópicos onde as novas estratégias podem ser aplicadas, para ajudar minha organização a alcançar níveis superiores de maturidade em segurança de aplicativos, protegendo assim nossos ativos e nossa reputação. Susan Croely Spectra Energy PARCEIROS PARA INSTRUÇÃO Os Seminários Oficiais de Revisão de CBK do (ISC) 2 estão disponíveis em todo o mundo, em instalações do (ISC) 2 e em parceiros de educação autorizados do (ISC) 2. Seminários oficiais de revisão do CBK do (ISC) 2 são conduzidos apenas por instrutores autorizados do (ISC) 2, especialistas em suas áreas e com comprovada maestria nos domínios cobertos. Tenha cuidado com cursos de treinamento não autorizados pelo (ISC) 2. Certifiquese de que a instituição de ensino traz o logotipo (ISC) 2 Authorized Provider, para garantir que terá os melhores e mais atualizados programas disponíveis. Vencedor do Prêmio da SC Magazine 2011 Melhor Programa de Formação Profissional, Educação para o (ISC) 2 4

5 FERRAMENTAS DE ESTUDO Boletim de Informações para o Candidato - gratuito Seu principal recurso de estudos para se tornar um CSSLP. O CIB (Boletim de Informações para o Candidato) contém um roteiro do exame, que apresenta tópicos e subtópicos importantes dentro dos domínios, uma lista de materiais de referência para estudo adicional, informações sobre o exame e políticas e instruções para o registro/administração. Guia oficial do (ISC) 2 para o CBK do CSSLP Escrito por Mano Paul, Consultor de Software Seguro do (ISC) 2, ele fornece uma análise profunda sobre o CBK do CSSLP. Com numerosas ilustrações, ele facilita o entendimento e a implementação de conceitos complexos de segurança. Secure Software Concepts Autoavaliação studiscope Tenha a experiência mais completa possível do exame de certificação para CSSLP antes de realmente prestá-lo. Cada studiscope de 100 questões é exatamente igual ao exame real, e identifica os domínios que precisam ser mais estudados. Você ainda receberá um plano de estudo personalizado. Visualizações do Domínio do CBK Canal de webcast gratuito Visualize uma série de breves webcasts que fornecem uma visão geral detalhada de cada domínio do CSSLP, o valor da certificação e como estudar para o exame. 5

6 LISTA DE VERIFICAÇÃO PARA A CERTIFICAÇÃO Obter a experiência necessária - Comprove que você possui no mínimo quatro anos de experiência profissional no ciclo de vida de desenvolvimento de software (SDLC) em um ou mais dos sete domínios do CBK de CSSLP do (ISC) 2 ou três anos de experiência profissional recente com um diploma universitário relevante em uma disciplina de TI. Se você não tiver a experiência exigida, ainda pode prestar o exame e se tornar um associado do (ISC) 2 até adquirir a experiência necessária. Estude para o exame - Utilize essas ferramentas didáticas opcionais para aprender sobre o CBK do CSSLP. Isto inclui: Boletim de Informações para o Candidato Webcasts de visualização do domínio do CBK Livro oficial Autoavaliação studiscope BENEFÍCIOS AOS MEMBROS Programa oficial de instrução Inscreva-se para o exame Visite para marcar uma data para o exame Envie a taxa de pagamento do exame Seja aprovado no exame - Passe no exame para CSSLP com uma pontuação em uma escala de 700 pontos ou mais. Leia as perguntas mais frequentes da pontuação no Exame em Conclua o processo de endosso (endorsement)- Ao ser avisado de que passou no exame, você terá nove meses a partir da data em que prestou o exame para concluir o seguinte processo de endosso: Preencha um Formulário de Endosso de Inscrição Adote o Código de Ética do (ISC) 2 Peça para um membro do (ISC) 2 endossar seu formulário A credencial pode ser concedida após a conclusão das etapas acima e após o envio do seu formulário. * Obtenha as diretrizes e formulário em Mantenha sua certificação - A recertificação é exigida a cada três anos, com requisitos contínuos para manter suas credenciais válidas. Isto é feito basicamente ganhando 90 créditos em Educação Profissional Continuada (CPE) a cada três anos, com a obtenção de no mínimo 15 CPEs a cada ano após a certificação. Se os requisitos de CPE não forem cumpridos, os CSSLPs precisam prestar novamente o exame para manterem a certificação. Os CSSLPs também devem pagar a taxa de manutenção anual (AMF) de US$100. Para mais informações sobre o CSSLP, visite GRATUITO: Série de Liderança em Segurança Iniciativas do setor Verificação da certificação Programa do Capítulo Oportunidades de recepções/formação de rede de contatos do (ISC) 2 Programa Global de Recompensas do (ISC) 2 Fórum on-line e-symposium ThinkTANK Estudo global da força de trabalho em segurança da informação Revista InfoSecurity Professional SecurityTalk Oportunidades de voluntariado para o Safe and Secure Online Ferramentas de carreira InterSeC Grupos de Mídia Social de Elite COM DESCONTO: Conferências do setor O (ISC) 2 Journal Mantenha a certificação com CPEs e AMF requeridos *Aviso sobre auditorias Candidatos aprovados passarão por seleção aleatória e serão submetidos à auditoria pelo (ISC) 2, antes da emissão de qualquer certificado. Múltiplas certificações poderão resultar em várias auditorias no mesmo candidato. O (ISC) 2 é a maior entidade de afiliação sem fins lucrativos de profissionais credenciados em segurança da informação do mundo, com mais de membros em mais de 135 países. Com reconhecimento global como Padrão da Indústria, o (ISC) 2 emite o Certified Information Systems Security Professional (CISSP) e concentrações relacionadas, assim como credenciais de Certified Secure Software Lifecycle Professional (CSSLP ), Certified Authorization Professional (CAP ) e Systems Security Certified Practitioner (SSCP ) para candidatos qualificados. As credenciais do (ISC) 2 foram uma das primeiras credenciais em segurança da informação a atender aos rígidos requisitos da Norma ISO/IEC 17024, um padrão global para avaliação e credenciamento de pessoal. O (ISC) 2 também oferece programas de formação e serviços baseados em seu CBK, um compêndio de tópicos em segurança da informação. Informações adicionais estão disponíveis em International Information Systems Security Certification Consortium, Inc. Todos os direitos reservados. 6 CSS.1 (03/12)